Minden, amit a DDoS támadásokról tudni kell
Szinte bármilyen vállalkozás áldozatul eshet, de létezik hatékony védelem a támadás ellen.
Újra virágkorukat élik a DDoS támadások, az utóbbi években ismét gyakorivá váltak. Hogyan kell elképzelni? Milyen veszélyekkel jár? Hogyan lehet védekezni ellene? Ezt jártuk körbe.
Mi a DDoS támadások alapja?
Világszerte hatalmas botnet hálózatok épültek ki az elmúlt évtizedekben. Sok gépet olyan káros programmal fertőztek meg, aminek semmilyen más funkciója nincsen, csak az, hogy ha kap egy vezérlő utasítást egy őt irányító támadótól vagy szervertől, akkor egy bizonyos internetes cím felé lekérdezéseket indít. Az okoseszközök megjelenésével és elterjedésével pedig óriási muníciót kaptak a támadók: a támadásra használt botnet hálózat végpontja nem csak a laptopunk vagy a munkaállomásunk lehet, hanem akár az otthoni routerünk, az okoseszközeink valamelyike, vagy az okoshűtőnk. A támadók megpróbálnak ezekre káros kódokat telepíteni, azért, hogy minél kiterjedtebb botnet hálózat fölött rendelkezhessenek.
A DDoS (Distributed Denial of Service), tehát az elosztott szolgáltatásmegtagadással járó vagy másnéven túlterheléses támadások végső célja az online szolgáltatások megbénítása, a hálózati eszközök, a hálózatra kötött szerverek, munkaállomások túlterhelésével. Pontosan azért nevezik elosztottnak, mert nem egyetlen központi forrásból, hanem egyidőben számos számítógépről indul ki. A káros kód segítségével támadásra felhasznált gépek koordinált akcióval, a megszokott, reális forgalom sokszorosával árasztják el a kiszemelt rendszert. Egy ilyen támadás nemcsak lassíthatja, hanem akár teljesen elérhetetlenné teheti az adott szolgáltatást. Ez pedig hosszabb-rövidebb távú üzemkiesést, sőt, jelentős üzleti kárt és presztízsveszteséget is okozhat. Az akciót az adott cég forgalma és IT-rendszere is megszenvedi.
Milyen típusait különböztetjük meg a DDoS támadásnak?
Alapvetően három formája van, de mindegyik lényege az, hogy túlterhelik a megtámadott rendszert. Az egyik a volumetrikus típus, amikor a rendelkezésre álló sávszélesség eltömítésével támadnak, sok lekérdezéssel. A másik a kapcsolat alapú, a harmadik pedig az úgynevezett alkalmazás szintű támadási típus. Mindhárom lényege a túlterhelés, csak ezt más-más módon érik el, és már olyan támadások is megjelentek, amelyek ezt a hármat vegyítik.
Hogyan indul a DDoS támadás?
A DDoS támadásokat rendszerint az arra szakosodott szolgáltatóknál a dark weben rendelik meg. Megadják a megtámadni kívánt cég adatait, publikus, interneten elérhető címeit. A DDoS szolgáltatás pedig arra utasítja a botnet hálózatot, hogy e cím felé egyidőben, tömeges lekérdezések történjenek, túlterhelve az oldalt.
Mivel egyrészt már elegendően sok káros kóddal fertőzött, támadásra bevethető gép, és így nagy botnethálózat működik, másrészt a támadások megrendelése is kevésbé költségesebb, mint korábban, így egyre többször tapasztalunk ilyen jellegű támadásokat.
Mindezek mellett megjelentek az olyan nagy volumenű támadások is, amelyek nagyon rövid idő alatt olyan méretet öltenek, hogy azt már képtelen egy céges hálózat, egy lokálisan elhelyezett tűzfal elbírni. Többek közt emiatt is kell az internetszolgáltatónak megoldást biztosítani arra, hogy az ügyfélhez már el se jusson a nagy volumenű támadás.
Milyen veszélyeket rejtenek a DDoS támadások? Miért kell mindenkinek védekeznie ellene?
Sok minden függ attól, hogy a támadás elszenvedője mely szektor vagy iparág szereplője, és mennyire támaszkodik a működése az IT-folyamatokra, illetve mekkora anyagi kárt okoz számára, ha akár csak 5-10 percig nem működik a weboldala vagy egy webes alkalmazása. Belátható, hogy egy alapinformációkról, hírekről beszámoló, statikus céges honlap vagy blog esetében nem akkora mértékű a kár, mint amikor egy webáruház, egészségügyi szolgáltató vagy netbanki szolgáltatás esik áldozatul túlterheléses támadásnak.
Egy pénzintézet esetében, ha egy ilyen incidens miatt nem működik a netbank, a kártyás fizetés vagy más, a mindennapjainkban megszokott szolgáltatás, az rendkívül komoly károkat okozhat. A webshopoknál is, különösen, amióta a pandémia miatt jelentősen nőtt az online vásárlások száma, több százezres vagy akár több milliós veszteséget is okozhat, ha akár csak pár percig is szünetel a szolgáltatás. Arról nem is beszélve, hogy a vásárlók nem biztos, hogy egy rossz tapasztalat után visszajönnek újrapróbálkozni.
De ne csak az online kereskedelemre gondoljunk, az indirekt károkozás is jelentős lehet. Sok cég használ már VPN-megoldást, egyre több adatot költöztetünk a felhőbe, és egyre több olyan szolgáltatást használunk, amit már csak a felhőből érünk el. Egy sikeres DDoS támadás eredménye az is lehet többek közt, hogy nem tudnak VPN-en keresztül bejelentkezni a munkavállalók, nem tudják a levelezőrendszert használni stb.
Rendszerint kik a támadás célpontjai? Mi a támadás fő célja?
A mai világban szinte bárki elszenvedhet DDoS támadást, akinek az üzleti működése az IT-infrastruktúrára támaszkodik. A támadások egyik indíttatása lehet a direkt pénzszerzés, azaz, hogy – a zsarolóvírushoz hasonlóan – fenyegetésre és zsarolásra használják fel. Ilyen eset például, amikor egy cégnek támadás előtt üzenetet küldenek, hogy amennyiben nem fizetnek meg kriptovalutában egy bizonyos összeget, érkezik a támadás. Ilyenkor olyan vállalatot vesznek célba, amelyiknek hatalmas veszteséget jelent, ha a hálózatukat nem lehet elérni. Egy másik tipikus ok a politikai indíttatású akció lehet.
Hogyan lehet kivédeni ezeket a támadásokat?
Fontos, hogy ezeket a típusú támadásokat már nagyon nehéz és kockázatos egy cégnek saját magának, a saját hálózatán belül kezelnie. Nagy volumenű támadás esetén ugyanis az a hálózati eszköz, ami a védelmet biztosítaná, nem fogja bírni az óriási terhelést, és ugyanaz lesz az eredmény: elérhetetlenné válik a hálózat. Ezen kívül vannak olyan internetszolgáltatók is, akik biztonsági okokból egész egyszerűen elérhetetlenné teszik ügyfelüket, ha azt komolyabb támadás éri, de ez is ugyanúgy káros az adott cégre nézve. Ezért lényeges többek közt az, hogy az érintettek a védelmet már eleve az internetszolgáltatótól vegyék igénybe.
Az Invitech képes ellátni ügyfelei védelmét az ilyen jellegű támadásokkal szemben is. A szolgáltató úgy szűri meg partnerei internetes forgalmát, hogy a támadás el sem jut a kiszemelt cégig. A társaságnak az előzőekben felsorolt összes ártó szándékú módszerre megvan a megfelelő technológiai válasza, adatközponti infrastruktúrájával és a felhőtechnológiában rejlő megoldásaival addig tudja növelni a forgalomtisztításhoz szükséges kapacitást, amíg a támadást nem semlegesíti.
Kapcsolódó anyagok: